Право на неприкосновенность частной жизни и доступ к персональным данным.
Беляева, Н. Г.
Право на неприкосновенность частной жизни и доступ к персональным данным
Н. Г. Беляева*
С приходом компьютерной эры неизмеримо возросло значение защиты права на неприкосновенность частной жизни в информационной сфере. С одной стороны, в условиях современного развития цивилизации и повсеместного внедрения информационных технологий расширяется доступ людей к информации, что способствует осуществлению права индивида на свободу информации. С другой стороны, доступ физических лиц к базам персональных данных усиливает риск вторжения в сферу частной жизни и нарушения права на ее неприкосновенность. Таким образом, информационные и телекоммуникационные технологии предельно обострили правовые проблемы, связанные с дилеммой «раскрытие информации —
защита частной жизни». Неприкосновенность частной жизни впервые обрела правовую регламентацию на международном уровне в 1948 г. в ст. 12 Всеобщей декларации прав человека: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». В дальнейшем это право получило воплощение в Международном пакте о гражданских и политических правах (ст. 17), Европейской конвенции о защите прав человека и основных свобод (ст. 8), Американской конвенции о правах человека (ст. 11), Конвенции Содружества Независимых Государств о правах и основных свободах человека (ст. 9).
Конституция РФ 1993 г. законодательно закрепила право каждого на неприкосновенность частной жизни (ч. 1 ст. 23) и недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия (ч. 1 ст. 24). Особое значение данный запрет приобретает в связи с созданием информационных систем на основе использования средств вычислительной техники и связи, позволяющих накапливать и определенным образом обрабатывать значительные массивы информации. Однако эти конституционные нормы пока не конкретизированы в законах, которые были бы посвящены определенным аспектам охраны неприкосновенности частной жизни и защите персональных данных. В нашей стране проблема защиты прав личности при работе с персональными данными (информация о гражданах) до последнего времени не считалась актуальной. В Советском государстве сбор информации о частной и иных сферах жизни лица осуществлялся на основе внутриведомственных инструкций; доступ гражданина к досье, содержащему сведения о нем, был закрыт.1Изменение концептуальных подходов ко многим явлениям жизни нашего общества, и прежде всего к их гуманитарной стороне, коснулось и охраны прав граждан, в том числе защиты личности от несанкционированного сбора персональных данных, от злоупотреблений, возможных при обработке и распространении информации персонального характера.
Право на неприкосновенность частной жизни необходимо рассматривать в трех аспектах: 1) право на неприкосновенность частной жизни как право индивида на свою собственную жизнь, на действия в отношении самого себя; данное право напрямую связано с индивидуальностью конкретного человека, а следовательно, и с защитой от вмешательства со стороны всех субъектов права; 2) право на неприкосновенность частной жизни как самостоятельное право, предполагающее недопустимость вмешательства в частную жизнь лица со стороны государства, организаций, юридических и физических лиц; 3) право на неприкосновенность частной жизни как право, смежное с другими правами, а именно: с правом на неприкосновенность семейной жизни, правом на неприкосновенность жилища, правом на неприкосновенность корреспонденции. Перечисленные права можно рассматривать и как примыкающие к праву на неприкосновенность частной жизни элементы, и как самостоятельные права. Неприкосновенность частной жизни лица означает запрет государству, его органам и должностным лицам незаконно и/или произвольно вмешиваться в частную жизнь граждан.
Персональные данные представляют собой данные в машинно-ориентированной форме, содержащие информацию о частной жизни живого индивида (субъекта данных), который может быть идентифицирован на основании этой информации (или с помощью этой и иной информации), если, с точки зрения любого нормального человека, наделенного обычной чувствительностью, субъект данных вправе считать такую информацию конфиденциальной и контролировать ее распространение.2 Отношения, связанные с передачей персональных данных и защитой неприкосновенности частной жизни, подлежат правовому регулированию национальными и международными нормами. Во многих европейских странах, а также в США и Канаде для охраны и защиты права на неприкосновенность частной жизни в условиях автоматической обработки данных о гражданах около 30 лет назад был введен институт защиты персональных данных, были приняты национальные законы о персональных данных, а в ряде стран введены независимые уполномоченные по защите этих данных. В Российской Федерации отсутствуют как закон о персональных данных, так и должность уполномоченного по защите персональных данных.
Европейская конвенция о защите прав человека и основных свобод гарантирует как право на неприкосновенность частной жизни (ст. 8), так и право на информацию (ст. 10), т. е. потенциально «противоречащие» права. В связи с острой потребностью их совмещенного урегулирования, обеспечения одинакового для государств уровня защиты, а также в связи с тем, что увеличивающееся использование автоматизированной обработки персональных данных за последние несколько десятилетий усилило риск незаконного использования персональных данных и облегчило их передачу между странами с большими различиями в уровне защиты персональных данных, в 1981 г. была принята Конвенция о защите индивидов в связи с автоматической обработкой персональных данных.3
Следует также здесь отметить Декларацию о праве доступа к информации, включенную в комплекс документов Европейского Союза, принятых в Маастрихте в феврале 1992 г., и Директиву 95/46/СЕ, принятую Европейским Парламентом и Советом Европы, «О защите физических лиц в условиях автоматической обработки данных и о свободном обращении этих данных» (24 сентября 1995 г.). Эти документы предусматривают, что на основе существующей договоренности стран Европейского Союза должны быть приняты «необходимые для выполнения данной директивы юридические, регламентные и административные меры». Так, ст. 1 Директивы 95/46/СЕ предписывает государствам-участникам «защищать фундаментальные права и свободы физических лиц и в особенности их право на секретность в отношении автоматически- обрабатываемых персональных данных». В соответствии со ст. 32 Директивы закрепленный ею правовой режим персональной информации обязателен для всех стран, входящих в Европейский Союз. Директива 96/9/СЕ «О юридической защите баз данных» от 11 марта 1996 г. распространила правовой режим защиты автоматически обрабатываемой персональной информации на данные, собираемые и обрабатываемые вручную.4
Конвенция о защите индивидов в связи с автоматической обработкой персональных данных устанавливает требования, предъявляемые к самим персональным данным, определяет принципы справедливого и законного сбора и использования данных. Согласно ст. 2 Конвенции под «персональными данными» понимается любая информация, относящаяся к идентифицируемому лицу. Персональные данные должны быть получены добросовестным и законным путем; они не должны использоваться для целей, не совместимых с теми, для которых были собраны; они должны быть относящимися к делу, полными, но не избыточными с точки зрения тех целей, для которых они накапливаются; они должны храниться в форме, позволяющей идентифицировать субъекта данных, однако не дольше, чем этого требует цель их использования (ст. 5 Конвенции). Из содержания ст. 5 Конвенции, которую можно назвать краеугольным камнем всей системы защиты информации, следует, что доступ к информации и последующая обработка ее должны проводиться на основании принципа потребности в осведомленности, где потребность выступает в таком виде, в каком она определена законом. Таким образом, любая информация частного характера является защищенной, и ее разглашение или допуск к ней может осуществляться только на основе принципа потребности в осведомленности. Еще один принцип гласит, что персональные данные о национальной принадлежности, политических взглядах, религиозных или иных убеждениях, а также данные, касающиеся здоровья или сексуальной жизни, могут подвергаться компьютерной обработке только в тех случаях, когда правопорядок предусматривает твердые гарантии их конфиденциальности (ст. 6). Эта Конвенция в главе II «Основные принципы защиты данных» прямо указывает на необходимость создания особого режима правовой защиты для «высокочувствительных» данных.5
Для того чтобы стать участником Конвенции о защите индивидов в связи с автоматической обработкой персональных данных 1981 г., государство должно гарантировать, что его национальное законодательство содержит эти основные принципы, связанные с персональными данными каждого индивида на их территории (ст. 4). Российская Федерация как член Совета Европы после ратификации Конвенции № 108 будет обязана выполнить это требование (т. е. принять принцип особого режима правовой защиты «высокочувствительных» данных), так же как и требование ст. 7, обязывающее страны-участницы принимать надлежащие меры для обеспечения безопасности хранящихся персональных данных от случайного или несанкционированного уничтожения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения (принципы безопасности данных).
Конвенция предусматривает следующие гарантии для субъектов данных: 1) предоставление любому лицу права быть осведомленным о существовании базы персональных данных и о ее главных целях, а также о ее юридическом адресе; 2) предоставление возможности периодически и без лишних затрат времени или средств обращаться с запросом о том, накапливаются ли в базе данных его персональные данные, и получать информацию о таких данных в доступной форме; 3) требовать изменения или уничтожения данных, которые не соответствуют перечисленным в ст. 5, 6 критериям; 4) прибегнуть к судебной защите нарушенного права, если его запрос либо требование о доступе к его персональным данным, уточнении или уничтожении данных не были удовлетворены (ст. 8). Изъятие из этих положений Конвенции допускается лишь тогда, когда оно прямо предусмотрено законом и представляет собой необходимую в демократическом обществе меру для охраны государственной и общественной безопасности, финансовых интересов государства или для пресечения преступлений, а также для защиты субъекта данных прав или прав и свобод других лиц (ст. 9).
Комитетом министров государств — членов Совета Европы были приняты также специальные Рекомендации, касающиеся использования и защиты персональных данных в разных областях жизнедеятельности общества и государства: медицины (1981); научных исследований и статистики (1983); маркетинга (1985); социального обеспечения (1986); в секторе полиции (1987); занятости (1989); в отношениях, связанных с финансовыми выплатами и сделками (1990); в отношениях, связанных с передачей данных третьим лицам (1991); в сфере защиты персональных данных в области телесвязи, специфических телефонных услуг (1995); защиты медицинских и генетических данных (1997); защиты персональных данных при сборе и обработке в статистических целях (1997). Эти акты устанавливают основные принципы сбора, хранения, использования и распространения информации персонального характера, которые рекомендуется включать в национальное законодательство в области защиты персональных данных. Российское законодательство пока не регулирует способы сбора персональных данных, которые обозначены в Конвенции Совета Европы и Рекомендациях.
Вопросы новых информационных технологий до сих пор рассматривались преимущественно с точки зрения развития коммуникаций, электронной торговли и свободного потока информации. Но эти факторы влияют и на безопасность и неприкосновенность частной жизни личности. Хранение персональных данных для различных целей связано и с риском нарушения неприкосновенности. В связи с этим Комитет министров Совета Европы разработал Рекомендацию NR (99) 5, содержащую Руководящие принципы защиты неприкосновенности частной жизни в Интернете.6 В этой Рекомендации, в частности, говорится, что уважение частной жизни является фундаментальным правом каждого индивида, которое может быть защищено также законодательством о защите персональных данных. Рекомендуется использовать юридически доступный шифр для конфиденциальной электронной почты, пароли, быть осторожными с кредитными карточками и номерами счетов, используемыми в Интернете, поскольку ими можно легко злоупотребить. Отмечается, что анонимный доступ (который в силу правовых ограничений не может быть полным) к предлагаемым в Интернете услугам является лучшей защитой частной жизни.
Право на неприкосновенность частной жизни должно реализовываться и в сфере биомедицины, к которой относятся не только проблемы, возникающие там и тогда, где и когда человек выступает как пациент, взаимодействующий прежде всего с врачом, но и шире — со службами здравоохранения в целом.7 В Конвенции о защите прав и достоинства человека в связи с использованием достижений биологии и медицины: Конвенции о правах человека и биомедицине 1997 г.8 в ст. 10 предусмотрено: «1. Каждый человек имеет право на уважение его частной жизни в том, что касается информации о его или ее здоровье. 2. Каждому человеку предоставляется право ознакомиться со всей собранной информацией о его или ее здоровье. Однако желание индивидов не быть информированным об этом должно соблюдаться. 3. В исключительных случаях в интересах пациента законодательством могут быть предусмотрены ограничения на осуществление прав, указанных в § 2». К сожалению, в России до настоящего времени значимость прав человека в сфере биомедицины осознается недостаточно, хотя, стоит заметить, ситуация очень быстро меняется. В сфере биомедицинской практики реализуется и право на сохранение телесной и психологической целостности человека — одного из аспектов права на неприкосновенность частной жизни.
Запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия закрепляется в конституционных актах государств. Интересную и наиболее полную, по сравнению с другими конституциями, формулировку содержит Конституция Португальской Республики: «1. Все граждане имеют право знать информацию о себе, занесенную в электронные картотеки и реестры, и о целях, для которых она предназначена, причем они могут требовать обновления информации и внесения в нее изменений без ущерба для положений закона о государственной тайне и о судебной тайне. 2. Запрещен доступ к электронным картотекам и реестрам для получения персональных данных о третьих лицах, если только это не делается в исключительных случаях, предусмотренных законом. 3. Информация не может быть использована для разглашения сведений, относящихся к философским или политическим убеждениям, партийному или профсоюзному членству, вероисповеданию или частной жизни, за исключением случаев обработки статистических данных, имеющих анонимный характер. 4. Закон определяет понятие персональных данных для целей электронной регистрации, а также баз и банков данных и соответствующие условия их создания, доступа к ним и использования публичными и частными организациями. 5. Запрещается присваивать гражданам единственный в национальном масштабе номер. 6. Закон определяет режим движения данных через границы, устанавливая формы, обеспечивающие защиту персональных и иных данных, охрана которых находится в сфере национальных интересов» (ст. 35).9 Стоит отметить, что в конституциях многих стран предусматривается недопустимость распространения сведений о частной жизни лица без его согласия.
Российское конституционное право ознакомления с документами и материалами, затрагивающими права и свободы, связано с некоторыми ограничениями: ознакомиться с такими документами и материалами могут только лица, чьих прав и свобод они касаются; заинтересованное лицо может воспользоваться предоставленным правом, если иное не предусмотрено законом. Определенной гарантией доступа к информации служит Закон РФ «О государственной тайне» от 21 июля 1993 г. в редакции от 6 октября 1997 г.,10 установивший наряду с правовым режимом информации, содержащей государственную тайну, порядком ограничения доступа к информации перечень сведений, которые не могут иметь режима ограниченного доступа.
Впоследствии право граждан на ознакомление с документами и материалами, непосредственно затрагивающими их права и свободы, было закреплено и в ряде федеральных законов. Основные положения порядка работы с информацией о частной жизни получили закрепление в Федеральном законе «Об информации, информатизации и защите информации» от 20 февраля 1995 г.11 Согласно этому Закону информация о гражданах (персональные данные), т. е. сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, относится к категории конфиденциальной (ст. 2, ч. 5 ст. 10, ч. 1 ст. 11). Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона (ч. 1 ст. 11). В настоящее время такой закон еще не принят. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Хотя указанный Закон вступил в силу в 1995 т., до сих пор не принят предусмотренный им закон относительно защиты персональных данных (существует лишь проект Федерального закона «Об информации персонального характера»,12 прошедший первое чтение и отправленный на доработку).
Проект Закона по сравнению с Федеральным законом «Об информации, информатизации и защите информации» расширяет толкование термина «персональные данные», определяя его следующим образом: «...зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности». К персональным данным проект относит: биографические и опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, состоянии здоровья и пр. В преамбуле проекта Закона говорится, что настоящий Федеральный закон устанавливает порядок работы с персональными данными в соответствии с общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация, Конституцией РФ, законами Российской Федерации в целях защиты основных прав и свобод человека и гражданина, в частности права на неприкосновенность частной жизни применительно к работе с персональными данными.
В проекте (ст. 4) предусмотрены основные принципы работы с персональными данными: 1) персональные данные должны быть получены и обработаны добросовестным и законным образом; 2) персональные данные должны собираться для точно определенных объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, не совместимым с данными целями; 3) персональные данные должны соответствовать целям, для которых они собираются и обрабатываются, и не быть избыточными в отношении этих целей; 4) персональные данные должны быть точными, т. е. не допускать ошибок и искажений в сведениях о личности, и в случае необходимости обновляться; 5) персональные данные должны храниться не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или минованию надобности в них. Для персональных данных, сохраняемых более длительные сроки в исторических или иных целях, должны быть установлены необходимые гарантии обеспечения их защиты; 6) не допускается объединение массивов персональных данных, собранных держателями (обладателями) в разных целях. В проекте Закона в отличие от положений Конституции РФ и федеральных законов не прослеживается принцип обеспечения неприкосновенности частной жизни граждан, поскольку в ст. 5, 8,10,18, 23 проекта расширяются пределы и условия работы с информацией о частной жизни лиц.
Положение о сборе персональных данных и доступе индивида к ним — это серьезная и нерешенная проблема российского общества. И хотя ст. 24 Конституции РФ имеет прямое действие, необходим закон, который четко урегулировал бы процедуры сбора персональных данных, его цели, а также доступ гражданина к документам и материалам, затрагивающим его права и свободы.
Российское законодательство допускает возможность сбора и хранения информации о частной жизни лица без его согласия. Такие меры должны соответствовать общим критериям возможного ограничения прав и свобод человека, которые содержатся в ч. 3 ст. 55 Конституции РФ: защита основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечение обороноспособности страны и безопасности государства. Они должны также соответствовать международным стандартам в этой области.
Сбор персональных данных может осуществляться как путем истребования их у лица, которого они касаются, так и путем получения их из иных источников или посредством проведения соответствующими органами и должностными лицами собственных поисковых мероприятий. Так, например, в соответствии с Федеральным законом «Об оперативно-розыскной деятельности» собирание сведений о личности может осуществляться путем опроса граждан, наведения справок, исследования предметов и документов, наблюдения и т. д. (ст. 6). Проведение всех этих мероприятий возможно лишь при наличии предусмотренных Законом оснований (ст. 7) и условий (ст. 8) и не должно выходить за пределы конкретных потребностей.
Хранение информации о частной жизни лица должно осуществляться таким образом, чтобы при этом исключалась возможность ее утраты или несанкционированного использования. Особый характер такой информации требует, чтобы после решения задач, в связи с которыми она собиралась, эта информация была уничтожена и не могла быть использована в других целях вопреки интересам соответствующего лица. Частью 6 ст. 5 Федерального закона «Об оперативно-розыскной деятельности» предусматривается, в частности, что полученные в результате оперативно-розыскных мероприятий материалы в отношении лиц, виновность которых в совершении преступления не доказана в установленном порядке, хранятся один год, а затем уничтожаются, если служебные интересы или правосудие не требуют иного. Использование персональных данных органами и лицами, получившими их на законных основаниях, должно осуществляться в соответствии с теми задачами, ради решения которых они собирались, хотя, в принципе, нельзя исключить того, что в каких-то случаях информация может быть использована и в целях, которые первоначально не определялись. Это возможно, в частности, если в процессе сбора персональных данных, необходимых для принятия решения о допуске к государственной тайне (п. 1 ч. 2 ст. 7 Федерального закона «Об оперативно-розыскной деятельности»), будут получены сведения о совершенном преступлении.
Как указывается в ч. 2 ст. 11 Федерального закона «Об информации, информатизации и защите информации», персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством. Использование информации о частной жизни лица в корыстных или иных незаконных целях должно влечь для виновного дисциплинарную, материальную или даже (при причинении существенного вреда правам и законным интересам граждан) уголовную ответственность.
Распространение информации о частной жизни лица, т. е. ее передача помимо воли этого лица другим субъектам, допускается лишь в строго определенных законом случаях. Федеральный закон «Об информации, информатизации и защите информации», в частности, устанавливает, что осуществлять деятельность, связанную с обработкой и предоставлением пользователям персональных данных, наряду с государственными органами вправе лишь такие негосударственные организации и частные лица, которые в порядке, установленном законодательством Российской Федерации, получили специальную лицензию. Согласно Федеральному закону «Об информации, информатизации и защите информации» гражданам и организациям предоставлено право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности. Они имеют право знать, кто и в каких целях использует или использовал данную информацию. При этом на владельца документированной информации о гражданах возложена обязанность предоставлять информацию бесплатно по требованию тех лиц, которых она касается (ст. 14).
В качестве гарантии интересов лиц, виновность которых в совершении преступления не доказана в установленном законом порядке и которые располагают фактами проведения в отношении них оперативно-розыскных мероприятий, Федеральным законом «Об оперативно-розыскной деятельности» предусмотрено их право истребовать от органа, осуществляющего оперативно-розыскную деятельность, сведения о полученной о них информации (ст. 5). Это право может быть ограничено только в пределах, допускаемых требованиями конспирации и исключающих возможность разглашения государственной тайны (так, при ознакомлении с оперативными данными не подлежат оглашению сведения о конфиденциальных источниках информации). УК РФ предусматривает ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, если эти деяния совершены из корыстной или иной личной заинтересованности (ст. 137), а также за отказ в предоставлении гражданину информации, если эти деяния непосредственно затрагивают права и свободы гражданина (ст. 140). Однако нельзя не учитывать ситуаций, когда сбор подобного рода информации является законным и направлен на обеспечение общественной безопасности, общественного порядка. Поэтому такие отношения требуют строгого законодательного урегулирования, обязательной возможности судебного обжалования действий государственных органов и должностных лиц, ущемляющих права и свободы человека.
В Канаде, которая является по государственному устройству федеративным государством, нет единого закона по защите прав граждан на неприкосновенность частной жизни. В этой стране одновременно действуют две модели системы права: германская (провинция Квебек) и англосаксонская (все остальные провинции), что, соответственно, затрудняет развитие единообразного для всего государства режима защиты персональных данных и неприкосновенности частной жизни («прайвеси»). Относительно темы статьи можно выделить федеральные законы: Акт о защите прав граждан на неприкосновенность частной жизни (прайвеси) 1985 г.13 и Акт о доступе к персональным данным 1985 г.14 Федеральный акт Канады о защите неприкосновенности частной жизни 1985 г. (Privacy Act) устанавливает стандарты для сбора, использования и распространения персональных данных федеральным правительством. Основной целью данного Акта является защита неприкосновенности частной жизни и персональных данных граждан, хранящихся в архивах правительства, а также защита прав граждан на доступ к этим данным. Все провинции Канады, за исключением Острова Принца Эдварда и Альберта, приняли законодательные акты, направленные на защиту неприкосновенности частной жизни, которые регулируют сбор и целевое использование персональных и коммерческих данных провинциальными правительственными учреждениями, агентствами, комиссиями, корпорациями, именуемые в этих актах учреждениями.15
Для использования персональных данных в административных целях правительственные учреждения обязаны хранить их в информационных банках, организованных по фамилиям владельцев или с использованием идентификационных номеров. Законодательные акты провинций Канады также устанавливают административные требования, которые должны соблюдаться учреждениями при сборе, использовании и раскрытии определенных видов персональных данных. Они устанавливают право на защиту неприкосновенности частной жизни, налагают ограничения на использование и раскрытие таких данных, обеспечивают право доступа граждан к своим персональным данным с целью их проверки и исправления.16
Законодательством Канады предусмотрена должность Специального уполномоченного по защите неприкосновенности частной жизни с наделением его полномочиями по рассмотрению жалоб граждан и контролем за соблюдением правительственными учреждениями вышеуказанного Акта. 17 Специальный уполномоченный изучает жалобы граждан, включая жалобы на то, что собранные на них персональные данные хранятся или используются ненадлежащим образом или что им было отказано в праве на внесение исправлений в неточные сведения. Граждане вправе обратиться в Федеральный суд в случае их несогласия с решением Специального уполномоченного по результатам рассмотрения их жалоб и претензий.
Акт 1 985 г о защите неприкосновенности частной жизни, как и большинство актов провинций,18 трактует понятие «данные» как «персональную информацию», что в свою очередь определяется как сведения об идентифицируемом лице, составленные без соблюдения какой-либо специальной формы.19 Такие данные включают в себя сведения о расе, национальной или этнической принадлежности, цвете кожи, вероисповедании, возрасте, семейном положении, об образовании, о состоянии здоровья, привлечении к уголовной ответственности, трудовой деятельности, любом идентификационном номере или символе, присвоенном данному лицу, домашнем адресе, об отпечатках пальцев, о группе крови, запросах конфиденциального или частного характера, направленных в правительственные органы об имени лица в случае, когда оно указывается с другой персональной информацией или когда сама ссылка на имя является определяющим фактором раскрытия информации о таком лице. Понятие «персональные данные» не включают информацию о служебной должности или должностных обязанностях лица, состоящего или состоявшего на государственной службе в правительственном учреждении; о правительственных заданиях, выполняемых или выполненных лицом на основании контракта; о предоставленных привилегиях финансового характера, включая информацию о приобретенных лицензиях или разрешениях; о лицах, умерших 20 лет назад.
Согласно канадскому законодательству никакая персональная информация не подлежит сбору правительственным учреждением, если она не имеет непосредственного отношения к деятельности данного учреждения. Правительственное учреждение обязано по возможности собирать персональную информацию непосредственно у субъекта данных. Лицо, о котором собирается информация, должно быть предупреждено о цели сбора информации, в противном случае это может привести к получению неточной информации, поставить под сомнение цель сбора или сделать использование собранной информации неприемлемым.20 Правительственное учреждение, собравшее информацию, обязано хранить ее некоторое время после использования по назначению с тем, чтобы гарантировать лицу возможность доступа к этой информации.
Граждане вправе требовать внесения изменений в их персональные данные.21 Если персональные данные раскрыты правительственному учреждению, то оно обязано вносить изменения или делать пометки на любой копии персональных данных, которые находятся под его контролем. В соответствии с Актом правительственные учреждения не могут использовать персональную информацию без согласия индивида на цели иные, чем те, для которых она собиралась, или те, которые указаны в Акте.22
Граждане Канады, равно как и постоянно проживающие на ее территории иностранные граждане, имеют право на доступ к любой своей информации, хранящейся в персональном информационном банке, и к любой другой персональной информации, находящейся под контролем правительственного учреждения, по поводу которой гражданин может получить исчерпывающие сведения о месте нахождения данной информации с тем, чтобы такое правительственное учреждение могло постоянно обновлять хранящиеся под его контролем персональные данные. В случае, когда лицу предоставлен доступ к персональной информации, правовое учреждение обязано разрешить ему изучение такой информации или предоставить ее копию. Если лицо запрашивает разрешение на доступ к документам, выполненным на одном из официальных языков Канады (английском или французском), то такие документы должны быть предоставлены ему на указанном языке и находиться под контролем правительственного учреждения.23
Для того чтобы государственные учреждения не могли использовать персональные данные, установлен дополнительный механизм их защиты — согласие Комиссии по защите прав граждан на неприкосновенность частной жизни. Сопоставление и сверка информации между публичными агентствами допускаются только в том случае, когда такое предусмотрено в провинциальном законодательстве.24
В США защита персональных данных гарантируется несколькими законами,25 в том числе Законом о неприкосновенности частной жизни 1974 г.,26 который предусмотрел свод правил «добросовестной информационной практики», определяющих порядок сбора, обработки и использования персональных данных, т. е. сведений о конкретных лицах, накапливаемых федеральными ведомствами. Этот Закон распространяется только на федеральные ведомства, но принципиальная новизна законодательного решения состояла в том, что индивиду — субъекту персональных данных предоставлялся комплекс правомочий, позволяющих осуществлять превентивный контроль за тем, как используется и кому передается персональная информация. Закон предоставил индивидам право на доступ к своим персональным данным, на их копирование, на внесение исправлений и ограничил раскрытие информации без согласия субъекта данных другим федеральным ведомствам. Термин «персональные данные» используется в Законе о неприкосновенности частной жизни в широком значении и подразумевает единицу, подборку или группу информации об индивиде, которой располагает ведомство (в том числе сведения об образовании, финансовых сделках, о состоянии здоровья, криминальную и трудовую биографию) и которая содержит указание на его имя, идентификационный номер, символ или иной идентифицирующий признак (например, отпечатки пальцев или фотографию). Закон устанавливает, что каждое ведомство, у которого имеется система персональных данных, должно разрешать любому индивиду знакомиться с содержанием его данных, включенных в такую систему, и получать их копию. Под системой персональных данных имеется в виду группа данных, из которой информация может быть извлечена посредством указания имени лица или какого-либо идентифицирующего номера или символа. Таким образом, в определении системы персональных данных главным критерием является способ извлечения информации: если такое извлечение сопровождается ссылкой на персональный идентификатор (имя, номер карточки социального обеспечения), то тогда система подпадает под действие Закона.
Закон о неприкосновенности частной жизни предписывает каждому ведомству, располагающему системой персональных данных, предоставить требующему лицу возможность внесения изменений в его данные. Это правило распространяется не только на федеральные ведомства, но и на частные организации, которые по договору с ведомством в порядке реализации его функций осуществляют операции с его системой данных. Закон предусматривает, что в случае отказа со стороны ведомства федеральный окружной суд по иску лица может обязать ведомство внести изменения в данные в соответствии с требованием. Однако до того, как обратиться в суд, лицо должно исчерпать все административные средства защиты, т. е. и его первоначальное требование, и жалоба должны быть отклонены. Но Закон не определяет, должен ли истец доказывать, что принятое ведомством решение неправильно, или, напротив, ведомство обязано обосновывать, что оно приняло правильное решение. Этот вопрос отчасти является вопросом о распределении бремени доказывания. В отличие от канадского законодательства для американского законодательства в области защиты неприкосновенности частной жизни характерны непоследовательность в регулировании различных видов персональных данных. Кроме того, не существует должностного лица, осуществляющего надзор за национальной политикой в этой области.
Как свидетельствуют законопроектные разработки в Российской Федерации, о которых шла речь выше, определенные компоненты зарубежного нормативного опыта полезны для отечественной деятельности в сфере обеспечения и защиты от злоупотреблений доступа к персональным данным. Так, проект Федерального закона «Об информации персонального характера» предусматривает введение должности Уполномоченного по правам субъектов персональных данных при Президенте РФ.
*Кандидат юрид. наук, преподаватель кафедры иностранного государственного международного права УрГЮА.
© Н. Г Беляева, 2001
